「完全なコントロール」ハッキングが確認されたため、すべての Windows ユーザーは直ちに更新する必要があります

ホーム » 長い形式

読書時間アイコン 4分。 読んだ

カレンダーアイコン 更新日

by アンモル・メロトラ 

上の更新

この記事を共有する

読者は MSpoweruser のサポートを支援します。私たちのリンクを通じて購入すると、手数料が発生する場合があります。 ツールチップアイコン

MSPoweruser の編集チームの維持にどのように貢献できるかについては、開示ページをお読みください。 続きを読む

数週間前、サイバーセキュリティ会社Eclypsiumの研究者 明らかになった ほとんどすべての主要なハードウェアメーカーには、悪意のあるアプリケーションがユーザーレベルでカーネル特権を取得し、それによってファームウェアとハ​​ードウェアに直接アクセスできるという欠陥があります。

研究者たちは、東芝、ASUS、Huawei、Intel、Nvidiaなどを含むBIOSベンダーとハードウェアメーカーのリストを発表しました。 この欠陥は、Windows 7、8、8.1、およびWindows 10を含むすべての新しいバージョンのWindowsにも影響します。Microsoftは、Windows Defenderが問題を処理できる以上の能力があることを確認する声明をすでに発表していますが、ユーザーが必要としていることについては言及していません。同じことを利用するには、最新バージョンのWindowsを使用する必要があります。 古いバージョンのWindowsの場合、Microsoftは、報告されるドライバーをブラックリストに登録するためにHVCI(ハイパーバイザー強制コード整合性)機能を使用することに注意しました。 残念ながら、この機能は第7世代以降のIntelプロセッサでのみ使用できます。 そのため、古いCPU、またはHCVIが無効になっている新しいCPUでは、ドライバーを手動でアンインストールする必要があります。

これが十分な悪いニュースではなかった場合、ハッカーはこの欠陥を利用してユーザーを悪用することに成功しました。 リモートアクセス型トロイの木馬またはRATは何年も前から存在していますが、最近の開発により、これまで以上に危険になっています。 NanoCore RATは、以前はダークウェブで25ドルで販売されていましたが、2014年に取り消され、ハッカーは無料版を利用できるようになりました。 この後、新しいプラグインが追加されるにつれて、ツールは洗練されました。 現在、LMNTRX Labsの研究者は、ハッカーがこの欠陥を利用できるようにする新しい追加機能を発見しました。このツールは、ダークウェブで無料で利用できるようになりました。

ツールを過小評価していた場合、ハッカーがシステムのシャットダウンや再起動をリモートで実行したり、ファイルをリモートで参照したり、タスクマネージャー、レジストリエディター、さらにはマウスにアクセスして制御したりする可能性があります。 それだけでなく、攻撃者はWebページを開いたり、Webカメラアクティビティライトを無効にして、被害者に気付かれずにスパイしたり、オーディオやビデオをキャプチャしたりすることもできます。 攻撃者はコンピューターに完全にアクセスできるため、キーロガーを使用してパスワードを回復し、ログイン資格情報を取得したり、ランサムウェアのように機能するカスタム暗号化でコンピューターをロックしたりすることもできます。

幸いなことに、NanoCore RATは何年も前から存在しており、このソフトウェアはセキュリティ研究者によく知られています。 LMNTRXチーム (フォーブス)検出技術をXNUMXつの主要なカテゴリに分類しました。

  • T1064 –スクリプティング: スクリプトはシステム管理者が日常的なタスクを実行するために一般的に使用するため、PowerShellやWscriptなどの正当なスクリプトプログラムの異常な実行は、疑わしい動作を示す可能性があります。 Officeファイルでマクロコードを確認することも、攻撃者が使用しているスクリプトを特定するのに役立ちます。 cmd.exeのインスタンスを生成するwinword.exeなどのOfficeプロセス、またはwscript.exeやpowershell.exeなどのスクリプトアプリケーションは、悪意のあるアクティビティを示している可能性があります。
  • T1060 –レジストリ実行キー/スタートアップフォルダ: 既知のソフトウェアまたはパッチサイクルと相関しない実行キーへの変更についてレジストリを監視し、追加または変更について開始フォルダを監視すると、マルウェアの検出に役立ちます。 起動時に実行されている疑わしいプログラムは、履歴データと比較した場合、これまでに見られなかった外れ値のプロセスとして表示される場合があります。 これらの重要な場所を監視し、疑わしい変更や追加があった場合にアラートを生成するLMNTRIX Respondなどのソリューションは、これらの動作を検出するのに役立ちます。
  • T1193 –スピアフィッシングアタッチメント: LMNTRIX Detectなどのネットワーク侵入検知システムを使用して、転送中の悪意のある添付ファイルを含むスピアフィッシングを検出できます。 LMNTRIX Detectの場合、内蔵のデトネーションチャンバーは、署名ではなく動作に基づいて悪意のある添付ファイルを検出できます。 シグニチャベースの検出では、ペイロードを頻繁に変更および更新する攻撃者からの保護に失敗することが多いため、これは重要です。

全体として、これらの検出手法は組織や個人/ホームユーザーに適用されます。現時点で最善の方法は、すべてのソフトウェアを更新して、最新バージョンで実行されていることを確認することです。 これには、Windowsドライバー、サードパーティソフトウェア、さらにはWindowsUpdateが含まれます。 最も重要なことは、疑わしい電子メールをダウンロードまたは開いたり、不明なベンダーのサードパーティソフトウェアをインストールしたりしないことです。

トピックの詳細: , ハック, マイクロソフト, エスカレーションの特権, ウィンドウズ, 10窓, 8窓

アンモル・メロトラ

アンモル・メロトラ シールド

Android および Windows ニュース レポーター

Anmol は Android と Windows のニュースをカバーしています。 彼は XNUMX 年以上の経験を持つテクノロジー ライターです。